Kako ustvariti .onion naslov na Toru

Kako do spletne strani tor

Na internetu, kot ga večina uporablja, se preko registrarja registrira ime domene (npr. Expressvpn.com). Za to običajno plačate pristojbino.

Del za piko na desni strani domene, na primer “.com” ali “.ca”, se imenuje domena najvišje ravni. Pogosto je to koda države, vendar obstajajo tudi nekatere generične domene najvišje ravni, kot je „.website“. Pred kratkim so podjetja lahko celo registrirala svoje domene najvišje ravni, kot je “.apple”.

Te domene na najvišji ravni dodeli Internet Corporation za dodeljena imena in številke (ICANN). Če želite ustvariti svojo domeno najvišje ravni, boste morali predložiti svoj predlog in verjetno boste zanj plačali veliko denarja.

Del pred piko, na levi strani domene, je poddomena. Ko kupite ime domene, na primer yourname.com, lahko ustvarite poddomene in jih usmerite na ločene strežnike (npr. Blog.yourname.com ali chat.yourname.com).

Ko ste registrirali svojo domeno pri registrarju (ali celo domeni najvišje ravni pri ICANN), lahko to domeno usmerite na IP naslov svojega spletnega mesta s pomočjo strežnika imen.

Za brezplačen in odprt internet to ustvarja različne težave.

Če vam ICANN iz kakršnega koli razloga vzljubi neljubo, vam lahko preprosto odvzame domeno in jo da nekomu drugemu.

Napadalec lahko dobi dostop do vašega računa pri registrarju in ga usmeri na svoj strežnik. To lahko uporabijo za lažno predstavljanje gesel in drugih privilegiranih informacij vaših uporabnikov. Vaš strežnik je vedno enostavno prepoznati po vaši domeni, kar olajša cenzuro ali zaplembo vaše storitve.

.storitve čebule rešijo vse te težave s pametno kriptografijo in nekaj triki.

Haš javnega ključa

.spletna mesta čebule, kot je tp7q4m5ln4yhk5os.onion, niso registrirana. Namesto tega so mešanica javnega ključa.

Če smo natančnejši, gre za prvo polovico hash-ja SHA-1 javnega ključa, ki je kodiran v bazi32, iz 1024-bitnega para ključev RSA s pripono “.onion”.

Rezultat tega je, da bo ime domene .onion dolgo 16 znakov in lahko vsebuje samo male črke od a do z in števke 2 do 7.

Ko v brskalnik Tor vtipkate .onion naslov, za razliko od običajne domene ne iščete naslova IP na strežniku DNS. Namesto tega vprašate imenik skrite storitve, ki ga lahko vsakdo prostovoljno vodi.

Če imenik skrite storitve, ki ga zahtevate, ve, kako najti strežnik, ki ga iščete, boste preusmerjeni na spletno mesto, ne da bi se razkrila lokacija (več o tem, kako Tor deluje tukaj).

.prepoznavanje čebule pri spletnih registratorjih

Ker ta funkcionalnost deluje samo v omrežju Tor, boste spletna mesta .onion lahko iskali le prek brskalnika Tor. Če bi ICANN kdaj izdal domene s končnico .onion, bi to lahko povzročilo veliko zmede, saj bi skrite storitve in spletna mesta v običajnem omrežju isti naslov razrešile na dva različna načina, kar bi vodilo do dveh različnih mest.

To pa ni zelo verjetno, saj bo ICANN verjetno priznal široko sprejetje in uporabo omrežja Tor in bi se gotovo želel izogniti zmedi po sistemu domenskih imen.

Projektna skupina za internet inženiring, IETF, ki razvija in vzdržuje internetne standarde, kot je TCP / IP, je že formalno priznala domeno .onion v tem, kar je bilo leta 2015 označeno kot pomembna odločitev. Ta odločitev je prišla po močnem lobiranju iz projekta Tor in ga sprejela možno, da Facebook prejme digitalno potrdilo TLS.

TLS v šifriranem omrežju Tor ni potreben, saj je povezava že od konca do konca šifrirana med .onion strežnikom in uporabnikom. Potrdilo pa uporabniku olajša preverjanje, ali se povezuje na pravi strežnik, in nudi dodatno oviro za napadalca.

Pridobivanje naslova .onion

Ko ustvarite .onion naslov, bo videti precej naključno, kot je to primer pri katerem koli hashu. Vendar statistično gledano, če ustvarite dovolj takih naslovov, se boste enkrat čez nekaj časa naključno spotaknili ob enega, ki je dejansko berljiv.

Za vsako pozicijo je 32 možnih znakov. Če želite najti naslov, ki se začne z e, pričakujete, da boste morali ugibati približno 16-krat. Če želite naslov, ki se začne z bivšim, morate že uganiti (32 * 32) / 2 = 512-krat. Za exp je potrebno več kot 16.000 ugibanj.

Sodoben računalnik lahko s skripta zlahka ugane približno 1-2 milijona takih naslovov na sekundo. Od tu lahko enostavno ocenimo, koliko časa bi trajalo, da bi našli želeno ime domene. Lahko bi uporabili isti postopek, da bi poskusili odbiti nekdo drug naslov .onion, vendar naslednje grafikone kažejo, da to ne bi bilo izvedljivo.

Ustvari .onion naslov

Če želite ustvariti dober, spominljiv in estetski .onion naslov, se ne boste omejili na preprosto gledanje prvih znakov. Z običajnimi izrazi lahko ustvarite vzorce, ki jih je enostavno prebrati in si zapomniti.

Za ustvarjanje domene .onion facebookcorewwwi.onion je Facebook vzel nov podatkovni center in za ustvarjanje domen znova in znova uporabil več kot 500.000 jeder, dokler niso našli enega, ki jim je všeč.

Facebooku je bil potreben en teden, da ustvari domeno .onion, računalniška moč pa bi stala približno 100.000 ameriških dolarjev električne energije.

Nik Cubrilovic, ki je za Blockchain postavil skrito storitev, pravi, da jim je bilo potrebno le 200-300 USD in približno 24 ur, da so ustvarili svojo domeno (blockchainbdgpzk.onion) z uporabo primerka AWS G1 in kopico šestih kartic ATi.

ExpressVPN je uporabljal samo en računalnik s sveže nameščenim operacijskim sistemom. Računalnik ni bil povezan z internetom, da bi omejil tveganje, da se tretji udeležijo ključev. Za ustvarjanje expressobutiolem.onion in nekaj drugih, manj lepih domen je potreboval približno dva tedna.

.čebula varnost

Čeprav ne bi mogli zlomiti .onion ključa s prenosnikom ali celo tisoč prenosnikom, boste morda lahko našli, če boste danes našli milijon računalnikov, ki imajo vsak približno 10.000-krat večjo računalniško moč vašega prenosnika..

Tudi takrat bi lahko trajalo nekaj let, toda to, kar se danes sliši neverjetno drago, bo morda kmalu doseglo dobro financirano in motivirano tristransko agencijo.

V prihodnosti bo treba nadgraditi naslove .onion ali pa najti novo shemo. Vsaj vsaj ključ RSA bo treba razširiti (ExpressVPN že uporablja ključe RSA z dolžino 4096 bitov za svojo storitev VPN) in algoritem mešanja bi lahko nadgradil na algoritem SHA-2.

Na primer, Bitcoin naslovi so ustvarjeni zelo podobno .onion naslovom, vendar Bitcoin uporablja eliptično krivuljo ECDSA za generiranje tipk 256 bitov in dvakrat uporabi funkcijo hashiranja SHA-256 za izpeljavo naslova.

Kje naprej za Tor in .onion?

Ne vemo, kaj bo v prihodnosti veljalo za certifikate TLS .onion. Ker je naslove .onion težko izračunati, je malo tveganj, da bodo kopirani, vendar je uporabnike še vedno mogoče nagovoriti, da sledijo podobnemu naslovu in dobijo lažne sporočila. Da bi se temu izognili, mora uporabnik preveriti celovitost celotne domene, ne le prvih nekaj ujemajočih se znakov.

Potrdila TLS potencialno olajšajo ta postopek, vendar mora tudi imetnik ključa .onion razkriti njihovo resnično identiteto. To bi spodkopalo sam namen skrite storitve.

Ena izmed možnosti bi bila uporaba storitev preslikave, kot sta Namecoin ali Blockstack, za ustvarjanje decentralizirane zamenjave DNS. Vendar pa ni jasno, kako bi se tak sistem spopadel s skvotiranjem imena in lažnim predstavljanjem. Na koncu bo morda prihodnost celo pripadala preprostim kombinacijam dolgih kriptografskih heš in navadnih imenikov.

Imate svoje teorije o prihodnosti domen .onion? Delite svoje misli v spodnjih komentarjih!